瞭解 cookie 法規並執行有效的同意管理解決方案，對每個網站而言都至關重要。本指南探討歐洲和美國法規之間的差異，分析 Google 同意模式如何運作，並比較主要的同意管理解決方案。

‍

Cookie 法與同意書管理：2025 年的更新

瞭解 cookie 法規並實施有效的同意管理解決方案，對每個網站而言都已變得至關重要。本指南探討歐洲和美國法規之間的差異，分析 Google 同意模式如何運作，並比較主要的同意管理解決方案，以及 2025 年的最新更新。

‍

歐洲立法：GDPR 和 ePrivacy 指令

在歐洲，個人資料和線上隱私權的保護主要由兩項法律所規範：

GDPR (一般資料保護規範)

GDPR 於 2018 年生效，對個人資料的處理提出了嚴格的要求，並制定了基本原則：

• 合法性和透明度：所有處理都必須有有效的法律依據
• 資料最小化：只收集必要的資料
• 安全性：確保充分的保護措施

為了收集和處理個人資料（包括 Cookie 等線上識別碼），必須有有效的法律依據，例如您的明確同意、合法利益或合約義務。

‍

違反 GDPR 可導致非常高的處罰，最高可達公司全球營業額的 4%。

電子隱私權指令

ePrivacy 指令 (2002/58/EC, 2009 年修正) 特別著重於電子通訊中的隱私權，包括 cookies 和追蹤技術的使用。

指令第 5(3) 條規定，在使用者的裝置上儲存或存取資訊前，必須事先取得使用者的同意，但也有例外 (例如絕對必要的技術性 cookies)。

實際上，這意味著歐洲網站必須：

• 清楚告知使用者 Cookie 的目的
• 在設定非必要 Cookie 前，先取得自由、具體且知情的同意
• 允許使用者隨時拒絕和修改偏好設定

歐洲隱私權主管機關積極制裁違規行為：例如，法國 CNIL 在 2020 年至 2022 年間對 Google 和 Amazon 未經有效同意而存放追蹤 cookies 的行為處以罰款。

‍

2025 年更新

2024 年 3 月，歐盟的「數位市場法」(DMA) 正式生效，進一步收緊對大型技術平台的同意要求，對 Cookie 和追蹤管理造成重大影響。這促使 Google 等公司更新其同意管理解決方案。

‍

2025 年 2 月，歐盟委員會正式撤回新的 ePrivacy 法規提案，保留現有指令的效力。這表示 Cookie 的同意要求仍維持現狀，仍具有約束力，並在歐洲各地嚴格執行。

‍

歐洲法院於 2024 年 3 月針對 IAB TCF 案做出重要裁決，對企業仍在消化吸收的「透明度與同意框架」的實施有重要影響。

‍

美國法規：CCPA、CPRA 及各州發展情況

美國與歐盟不同，並沒有與 GDPR 相類似的一般聯邦隱私權法律。監管發生在州和部門層級，近年來有顯著的發展。

CCPA (加州消費者隱私權法案) 和 CPRA (加州隱私權法案)

CCPA 於 2020 年生效，並由 CPRA (2023 年起生效) 加以強化，使其更接近歐洲模式。

CPRA 已：

• 除了「銷售」之外，還引入了資料「共用」的概念
• 賦予消費者選擇拒絕的權利，甚至拒絕分享其個人資料作跨內容廣告之用
• 界定敏感個人資訊的類別，並賦予限制其使用的專屬權利
• 擴大現有權利，並成立專門機構，即加州隱私權保護局 (CPPA)

2025 年更新

2023 年至 2025 年間，美國的隱私權格局經歷了快速的演變：

截至 2025 年 1 月，多達 20 個美國州現已制定全面的資料隱私權法律，其中 8 項新法律將於 2025 年生效。這表示約 40% 的美國消費者現在擁有數位隱私權。然而，法規的分散對於企業而言是一大挑戰，因為企業必須在通常類似但不完全相同的要求之間遊刃有餘。

‍

加州仍然位居前列，CPPA 在 2024-2025 年尤其活躍。該機構發布了多項重大處罰，包括在 2024 年對一家雲軟體公司處以 675 萬美元的罰款。該機構還發布了關於網路安全、風險評估和自動決策技術 (ADMT) 的新建議法規，公開公眾評論期至 2025 年 6 月。

‍

在 Cookie 管理方面最相關的發展中，加州擴大了「敏感個人資訊」的定義，將「神經資料」（透過量測神經系統活動所產生的資訊）納入其中，並澄清個人資訊也包括數位和抽象格式，例如人工智慧所產生的資訊。

‍

特拉華州通過了一項隱私權法律，與其他法律不同的是，該法律不將非營利組織和學術機構排除在其涵蓋範圍之外，顯著擴大了其涵蓋範圍。

‍

與歐盟不同，美國的模式仍主要以選擇退出 (opt-out) 而非事先同意 (prior consent) 為基礎。因此，為歐盟使用者提供服務的美國網站必須為這些使用者採用符合 GDPR 的橫幅，而對於美國使用者，則只需顯示通知和選擇退出連結，而無需事先封鎖 Cookie。

‍

IAB TCF：透明度與共識架構

歐洲互動廣告局 (IAB) 制定了「透明度與同意框架」(TCF) 作為業界標準，協助企業管理使用者同意，以符合 GDPR 和 ePrivacy 指令，尤其與數位廣告相關。

TCF 開發與版本

TCF 已經歷過多次迭代：

• TCF v1.1：2018 年 4 月推出
• TCF v2.0：2019 年 8 月推出
• TCF v2.1：2020 年 8 月推出，與歐盟法院的 Planet49 裁決一致
• TCF v2.2：根據與比利時資料保護局 (DPA) 協定的行動計畫，於 2023 年 5 月推出，並於 2023 年 11 月前實施

TCF v2.2：主要變更

TCF v2.2 引入了重要的變更：

1. 取消合法利益作為廣告和內容客製化的法律基礎。對於目的 3、4、5 和 6（建立個人化廣告檔案、選擇個人化廣告、建立個人化內容檔案和選擇個人化內容），現在只允許明確同意。
2. 更方便使用者的說明取代目的和功能的法律資訊，讓與使用者的溝通更清楚、更容易取得。
3. 供應商資訊的標準化與擴充，包括所收集資料的類別、保留期限以及合法利益的應用指南。
4. 對出版商的要求更加嚴格，他們必須披露已在第一級 CMP 中使用的供應商和 Google Ad Tech Providers 的總數。
5. 改善執行機制，採用新的審計流程和有區別的執行程序。

TCF v2.3：最新發展

2025 年 4 月，IAB Tech Lab 和 IAB Europe 開放 TCF v2.3 技術規格供公眾評論，評論期至 2025 年 5 月 19 日止。該更新旨在為廠商提供更清晰的特定情境，在這些情境中，不清楚資料是否已向使用者揭露，當廠商打算基於合法利益為特殊目的處理資料時，這一點尤其重要。

TCF v2.3 的時間表包括

• 2025 年 5 月底：技術規格定稿
• 2026 年 2 月 1 日：所有 CMP 和供應商更新實施以支援 v2.3 的截止日期

Google 同意模式：它是什麼以及如何運作

為了幫助網站和廣告商尊重使用者的同意選擇，Google 推出了同意模式 (Consent Mode)，這是一項技術解決方案，可根據使用者的同意狀態調整 Google 標籤的行為。

Google 同意模式 V2

2023 年 11 月，Google 推出同意模式 V2，強制使用 Google 服務並收集歐洲經濟區 (EEA) 使用者資料的網站於 2024 年 3 月前實施。這項更新是特別為了配合歐盟的「數位市場法」(DMA) 而設計。

同意模式 V2 除了原有的參數外，還引入了兩個新參數：

• ad_storage和analytics_storage（現有）：控制廣告和分析 cookie 的儲存
• ad_user_data(新增)：管理個人資料用於廣告目的的同意書
• ad_personalisation(新增)：管理同意將資料用於個人化再行銷的同意書

與 ad_storage 和 analytics_storage 不同，這些新參數不會影響網站本身的標籤行為，而是傳送至 Google 服務的附加參數，用以指示使用者資料的使用方式。

實施方法

Google 同意模式 V2 有兩種執行模式：

1. 基本同意模式：在使用者與同意橫幅互動之前，Google 標籤會被完全封鎖。如果使用者不同意，則不會收集任何資訊。
2. 進階同意模式：Google 標籤會在使用者與廣告橫幅互動之前載入。如果使用者不同意，標籤會以有限模式運作，發送「匿名 ping」（不含使用者識別碼），Google 會使用這些標籤來對結果進行統計建模。

值得注意的是，一些隱私權專家對進階模式是否符合資料保護法規提出疑問，因為「ping」可能代表未經同意而處理的個人資料。

對行銷與分析的影響

如果沒有 Google 同意模式，廣告平台就無法取得新 EEA 使用者的資料，大幅限制了收集受眾資料、衡量廣告活動成效以及實施目標性廣告策略的能力。

‍

透過 Consent Mode V2，網站可以透過尊重同意偏好的先進建模技術，即使使用者未同意使用 Cookie，也能繼續收集基本分析資料。

‍

‍

同意管理解決方案 (CMP)

為了遵守所有這些法規，網站使用同意管理平台 (CMP)，提供橫幅和介面以取得使用者的同意，以及尊重這些選擇的機制。

IAB 在 CMP 中的角色

IAB 在透過 TCF 架構認證 CMP 方面扮演關鍵角色。IAB TCF v2.2 認證的 CMP 必須：

1. 顯示資料處理目的的明確資訊
2. 為不同目的收集細粒度的同意書
3. 讓使用者可以輕鬆變更偏好設定
4. 安全儲存同意書 (TC 字串)
5. 以標準 TCF 格式將這些偏好傳達給所有供應商

2023-2024 年，Google 對希望在歐盟和英國支援 Google Ads 的 CMP 提出了特定的認證要求，主要要求是更新符合 IAB TCF。經 Google 認證的 CMP 可使用 Google Ads 產品，並列入官方清單。

2025 年前主要 CMP 解決方案的比較

Finweet (Finsweet Cookie Consent)

特別針對使用 Webflow 建立的網站的解決方案，完全支援 IAB TCF v2.2 和 Google Consent Mode v2。

優勢：

• 免費 (基本版本)
• 完全圖形客製化（橫幅直接內建於 Webflow 設計器中）
• 適用於 Webflow 使用者的無程式碼方法

缺點：

• 需要專業技術才能正確執行
• 免費版本僅涵蓋基本的 GDPR 方面
• 需要訂閱才能使用 Google Consent Mode v2 等進階功能。

理想對象：使用 Webflow 的開發人員或代理商，他們需要完全的控制和客製化設計。

Cookie 是

隨插即用的解決方案，已更新以支援 IAB TCF v2.2 和 Google Consent Mode v2，現已獲得 Google CMP 合作夥伴的金牌認證。

優勢：

• 易於使用（只需複製/貼上代碼）
• 自動掃描網站 cookie
• 定期更新以符合法規
• 支援執行 Google Consent Mode v2 的疑難排解

缺點：

• 有限的客製化選項
• 經常性訂閱模式
• 對於要求嚴苛的品牌而言，這可能過於簡單

適用於：小型網站或想要快速上手的業主。

Iubenda Cookie 解決方案

Iubenda 是一家義大利公司，提供完整的合規工具套件，並已全面更新以支援 IAB TCF v2.2 和 Google Consent Mode v2。

優勢：

• 多合一解決方案（包括多語言隱私權和 Cookie 政策產生器）
• 通過 IAB TCF v2.2 認證
• Google 合作夥伴同意模式 v2
• 保留每次稽核的同意書記錄
• 支援使用者的地理定位和歐盟/美國區分管理

缺點：

• 服務費（年度計畫依據使用的服務而定）
• 對於非常小的網站而言，它可能過大
• 對於 Webflow 使用者而言，它不像 Finsweet 是「原生」的。

理想對象：尋求專業、全面解決方案，且只需最少維護的企業。

Cookiebot (Usercentrics CMP)

最早流行的 SaaS CMP 解決方案之一，現在是 Usercentrics 平台的一部分。

優勢：

• Cookie 合規自動化
• 定期掃描追蹤器和 Cookie，並自動將其分類
• 產生更新的動態 cookie 政策
• 已通過 TCF v2.2 認證，並與 Google Consent Mode v2 相容
• 多司法管轄區合規支援（歐盟和美國）

缺點：

• 免費商業模式，成本隨著流量成長
• 適度的橫幅自訂
• 無法像 Finsweet 一樣完全從頭開始繪製

理想對象：中型網站和希望將 cookie 管理委託給自動化的公司。

UniConsent

新興的 CMP 提供完整的解決方案，可與 Google Consent Mode V2 和 IAB TCF v2.2 整合。

優勢：

• 輕鬆整合兩種 Google 同意模式 V2 (基本和進階)
• 支援 IAB TCF v2.2 規範
• 使用 Google Analytics 4 (GA4) 簡化設定
• 同意書管理的直覺式儀表板

缺點：

• 與其他解決方案相比，品牌知名度較低
• 提供較少的文件

理想對象：尋找專注於與 Google Consent Mode V2 整合的解決方案的公司。

企業解決方案

對於大型跨國組織，則有 OneTrust、TrustArc、Didomi、Usercentrics、Osano 等企業 CMP。

優勢：

• 與業務系統（CRM 等）深度整合
• 進階客製化
• 多管道同意書管理（網路、行動應用程式、連線電視）
• cookies 以外的合規形式（處理利害關係人的要求、影響評估）
• 全球支援多司法管轄區的合規性

缺點：

• 高預算
• 複雜的實施
• 需要專業建議

理想對象：具有全球業務及複雜共識管理需求的大型公司。

結論

要適應 cookie/隱私權規範，既需要對不同規範有法律上的瞭解，也需要實施適當的技術解決方案。

‍

在歐洲，普遍採用嚴格的事先同意制度，而在美國，則普遍採用附有透明度義務的選擇退出制度，不過各州的法律逐漸朝向更嚴格的標準發展，更接近歐洲的模式。

‍

Google Consent Mode V2 和 IAB TCF v2.2/v2.3 等工具有助於縮小行銷和隱私之間的差距，讓網站在使用分析和廣告服務的同時遵守 cookie 法律。

‍

同意書管理平台的選擇取決於網站規模、可用技術資源、預算和多國合規需求等因素。最重要的是讓使用者能真正控制自己的資料，並讓網站以透明且符合適用法律的方式運作。

‍

在歐洲和美國營運的公司將需要繼續面對複雜且不斷演進的法規環境，並根據不同的司法管轄區調整其同意權管理解決方案。

‍

Cookie 法規和同意書管理常見問題

歐洲和美國 cookie 法律的主要差異為何？

在歐洲 (GDPR 和 ePrivacy 指令) 以選擇接受模式為主：在使用非必要 cookies 之前，必須先取得使用者的明確同意。相反，在美國 (CCPA/CPRA 及其他州法律) 則以選擇退出模式為主：在使用者明確表示反對之前，都可以使用 cookies，而且公司必須提供明確的方式，讓使用者選擇不出售/分享資料。

‍

在歐洲，哪些 cookie 無需使用者同意即可使用？

在歐洲，只有「絕對必要」（或「技術性」）的 Cookie 才能在未經同意的情況下使用。這些 Cookie 包括網站運作所必需的 Cookie，例如用於驗證、在電子商務購物車中儲存項目或用於網站安全的 Cookie。

‍

什麼是 Google 同意模式 V2，為什麼它很重要？

Google Consent Mode V2 是用來向 Google 傳達使用者同意選擇的介面。它引入了四個同意參數 (ad_storage、analytics_storage、ad_user_data、ad_personalisation) 來管理 Google 標籤的行為。它的重要性在於可讓網站在行銷績效測量與隱私權規範之間取得平衡，並且自 2024 年 3 月起，在歐洲使用 Google 服務的網站必須遵守此規定。

‍

如何選擇最適合我現場的 CMP 解決方案？

選擇取決於幾個因素：網站大小和流量、可用預算、內部技術專長、建立網站的平台（例如 Webflow、WordPress），以及特定的合規要求。檢查 CMP 是否通過 IAB TCF v2.2 認證以及是否支援 Google Consent Mode V2 也很重要，尤其是在使用 Google 廣告服務的情況下。

‍

不使用行銷或分析 cookie 的網站是否也需要 cookie 標語？

在歐洲，技術上是的。即使網站只使用必要的 Cookie，仍有必要告知使用者使用了哪些 Cookie。但是，在這種情況下不需要徵求同意，因此可以將橫幅簡化為不需要互動的資訊性通知。

‍

不遵守 cookie 法規會受到什麼處罰？

在歐洲，違反 GDPR 可導致最高達全球年營業額 4% 或 2,000 萬歐元 (以較高者為準) 的處罰。在加州，違反 CCPA/CPRA 可導致每次非故意違規最高 2,500 美元和每次故意違規最高 7,500 美元的民事處罰，以及潛在的消費者訴訟。監管機構在執法上變得更加積極，近年來已開出數張重大罰單。

‍

Google Consent Mode V2 是否取代 cookie banner 的需要？

不，Google Consent Mode V2 並不會取代廣告橫幅 cookie，而是與之配合使用。仍需要系統收集使用者同意 (CMP)，然後將偏好設定傳達給 Google 同意模式，以規範標籤行為。

‍

如何為一個在歐洲和美國都有使用者的網站管理同意書？

最佳的解決方案是實施一套系統，可辨識使用者的地理位置，並顯示適當的介面：歐洲使用者會顯示選擇加入的橫幅，而美國使用者則會顯示選擇退出的通知。最先進的 CMP 都提供這種地理定位功能。

‍

什麼是 IAB TCF 及其重要性？

IAB Transparency & Consent Framework (TCF) 是一項業界標準，可協助公司管理使用者同意，以符合 GDPR 和 ePrivacy Directive 的規定，尤其是在數位廣告方面。它為出版商、廣告商和廣告技術供應商之間收集、儲存和分享使用者同意偏好提供了標準化機制。最新版本 TCF v2.2 旨在提高透明度和問責性，是根據資料保護當局的指引而開發的。

‍

TCF v2.3 有哪些主要的新功能？

TCF v2.3目前正進行公眾諮詢，諮詢期至2025年5月，其目的在於為廠商在特定情況下提供更清晰的說明，在這些情況下，不清楚資料是否已向使用者揭露。當廠商打算基於合法利益為特殊目的處理資料時，此區別尤其重要。技術規格預計於 2025 年 5 月底定案，實施期限為 2026 年 2 月 1 日。

‍

來源

1. IAB Europe (2025)。TCF v2.3 公開徵求公眾意見」。IAB Tech Lab.https://iabtechlab.com/tcf-v2-3-is-open-for-public-comment/
2. IAB Europe (2025)."TCF 2.2 推出！您需要知道的一切'。https://iabeurope.eu/tcf-2-2-launches-all-you-need-to-know/
3. IAB Europe (2025)。「TCF 支援資源」。https://iabeurope.eu/tcf-supporting-resources/
4. Google (2025)。更新歐洲經濟區 (EEA) 流量的同意模式」。Google Tag Manager 說明。https://support.google.com/tagmanager/answer/13695607
5. Termly (2025)。「什麼是 Google 同意模式 v2？」。https://termly.io/resources/articles/what-is-google-consent-mode-v2/。
6. Cookieyes (2024)。"什麼是 Google 同意模式 V2？如何實施？"。https://www.cookieyes.com/blog/google-consent-mode-v2/。
7. CookieFirst (2024)。「Google 同意模式 V2 解釋」。https://cookiefirst.com/google-consent-mode-v2-released/
8. Bloomberg Law (2025)。「哪些州有消費者資料隱私權法律？」。https://pro.bloomberglaw.com/insights/privacy/state-privacy-legislation-tracker/。
9. IAPP (2025)。"US State Privacy Legislation Tracker".https://iapp.org/resources/article/us-state-privacy-legislation-tracker/
10. 加州隱私權保護局 (2025)。「有關 CCPA 更新、網路安全稽核、風險評估、自動決策技術 (ADMT) 及保險公司的建議法規。」https://cppa.ca.gov/regulations/ccpa_updates.html
11. White & Case LLP (2025)。「資料隱私權更新」。https://www.whitecase.com/insight-alert/data-privacy-update-2025
12. 加州律師協會 (2025)。「2025 年的州隱私權法律-值得期待」。https://calawyers.org/privacy-law/state-privacy-law-in-2025-what-to-expect/。